2021
Le RGPD fête sa troisième année
Ce 25 mai 2021 célèbre le troisième anniversaire de la mise en application du RGPD (Règlement Général sur la protection des données), l’occasion de faire le point sur quelques statistiques-clés de l’Autorité de protection des données. Malgré une crise sanitaire sans précédent, l’APD a continué à tourner à plein régime, elle a notamment reçu un nombre inégalé de plaintes et notifications de fuites de données sur l’année RGPD écoulée : 1902 plaintes et 1232 notifications.
Une troisième année de RGPD en chiffres
Durant cette troisième année suivant l’entrée en vigueur du RGPD (chiffres du 25/05/2020 au 20/05/2021), l’APD a reçu :
Notifications de fuites de données (données perdues, volées ou hackées par ex) | 1232 |
Demandes d’information | 4333 |
Plaintes (*) |
1902 |
Requêtes en médiation (*) | 85 |
Demandes d’avis sur des projets de loi, décrets et arrêtés Dont 62 avis ont dû être traités en urgence et 31 avis concernent des textes liés au Covid-19 |
204 |
Décisions de la Chambre Contentieuse assorties de sanctions Pour un total de 131 sanctions dont 21 amendes (atteignant un montant total de €951.000, dont 7000 euros ont été annulés par la Cour des Marchés) |
73 |
A l’heure actuelle, l’APD compte également 6625 DPO (Data Protection Officers) actifs enregistrés. |
A des fins de comparaison vous trouverez nos chiffres de la seconde année de RGPD dans notre communiqué sur le second anniversaire du RGPD. (*)Attention, les plaintes et requêtes en médiation étaient à l’époque comptées ensemble.
La crise sanitaire : une période charnière pour l’approche renouvelée de l’APD
Malgré l’afflux de travail lié au développement de la crise sanitaire, l’APD n’a pas ralenti sa transition vers une nouvelle autorité à la fois proactive, axée sur le partage de connaissances et la sensibilisation, mais aussi plus efficace en termes d’inspections et de contrôle.
En vue de devenir un véritable centre de référence, l’APD a multiplié ses efforts pour informer les citoyens et responsables du traitement via ses recommandations, la jurisprudence créée par ses décisions, avis et enquêtes, ses courriers de réponse aux demandes d’information, un site web entièrement renouvelé, des documents pratiques destinés aux PME, un tout nouveau projet initié pour encore mieux soutenir les DPO, etc. Ces différentes initiatives permettent non seulement de mieux informer les citoyens par rapport à la protection de leurs données personnelles, mais également de travailler en amont à la prévention d’éventuelles infractions.
Sur l’année écoulée, l’APD a également approuvé le tout premier code de conduite transnational adopté depuis l’entrée en application du RGPD. Le code de conduite est un instrument nouveau et essentiel du RGPD qui permet de rendre plus concrètes les règles du RGPD pour un secteur spécifique. Ce faisant, il est bénéfique pour les responsables du traitement (car il offre une certaine « sécurité juridique ») comme pour les citoyens (car il offre une couche de protection additionnelle).
Malgré les efforts consentis en termes de prévention, il est parfois nécessaire de sévir. L’APD s’approprie chaque jour davantage son rôle de contrôleur. Ainsi environ 130 dossiers d’enquête ont été transmis au Service d’Inspection (depuis le 25 mai 2020), un nombre qui augmente de manière significative d’année en année. Le Service d’Inspection a imposé également pour la première fois une mesure provisoire (dans le cas d’espèce, au SPF Finances) afin d’éviter une situation susceptible de causer un préjudice grave, immédiat et difficilement réparable. L’APD a été confrontée également à des dossiers de litiges de plus en plus complexes comme des dossiers transfrontaliers, ou encore des dossiers impliquant plusieurs responsables du traitement ou des plaintes reçues en masse (comme par exemple dans le cas d’une récente fuite de données d’un réseau social).
Pendant l’année RGPD écoulée, l’APD n’a pas perdu ses priorités stratégiques de vue, comme la protection de la vie privée en ligne (dont une enquête en cours sur la gestion des cookies par des sites populaires en Belgique), les données sensibles (ses différents avis « Covid-19 » par exemple) ou les pouvoirs publics (l’ouverture d’un dossier concernant le projet dit « Putting Data at the Center » par le Secrétariat Général, différentes décisions de la Chambre Contentieuse, etc.).
L’important volume de plaintes et demandes en médiation reçues (1987 contre 351 sur la seconde année RGPD), de notifications de fuites de données (1232 contre 937), l’augmentation des inspections à mener, ou encore par exemple de textes normatifs qui lui sont soumis pour avis rappellent cependant que l’APD ne pourra pas continuer son évolution vers une autorité de protection des données de référence en Europe si elle ne reçoit pas les moyens adaptés aux défis du RGPD et à l’augmentation de sa charge de travail.
David Stevens, Président de l’APD : « Chaque jour, notre Autorité s’approprie davantage son nouveau rôle. Nous sommes sur la bonne voie pour réaliser avec succès notre Plan Stratégique 2020-2025. La simplification et l’application des règles sont essentielles à cet égard : nous informons au mieux ceux et celles qui traitent des données par rapport à leurs obligations, et sensibilisons également les citoyens par rapport à leurs droits. Quand c’est nécessaire, nous lançons aussi des enquêtes et/ou imposons des sanctions. »